豪杰超级解霸创始人梁肇新:安全需要新体系
豪杰超级解霸创始人 梁肇新
这几天互联网爆出用户帐户泄密事件,先是CSDN,然后是其他互联网巨头,然后又是天涯,似乎没完没了。事实上,远远不止这些,这仅仅是开头而不是结束,以后会爆出更多、更广、更有害的泄密,比如通信公司用户帐号泄密、银行系统用户帐号泄密,事情只会越来越严重。除非出现新的安全体系模型。
大型互联网公司,不可能没有安全机制,什么硬件防火墙、软件防火墙、杀毒软件、主动防御、漏洞扫描和动态补丁补个不完、自动更新更个没完,等等……,现在能够使用的浑身解数几乎统统用上。
可是为何还会中招?
这是因为目前的安全体系思维过于陈旧,基本上都是从DOS时代传承下来的安全思维,基本上都是哪出问题补哪的安全方式。说句不好听的话,基本上都是“事后诸葛亮”、“马后炮”。即使是什么“主动防御”,也没什么突破性思维。
密码泄露了,就研究让密码加个密,以为那样即使密码丢了对黑客也不会有什么用,以为黑客即使得到密码也无法破解。事实上,网上破密用的密码字典很大,几乎囊括所有可能的密码方式,甚至不需动用暴力破解就可以把绝大部分密码进行破解。
密码数据库泄露,就说明这个网站的核心服务器已经是别人可以随意控制的“私人机器”了,人们总是心理安稳就满足。当XP推出的时候就欢呼以后电脑就安全了,当Vista推出的时候也欢呼以后电脑就安全了,当Windows 7推出的时候也欢呼以后电脑就安全了,现在又翘首以盼,听说当Win8推出以后电脑就安全了。或者,还有人认为可能Windows不安全,所以我们用 linux就安全了,微软的系统可能不安全,我们改用苹果的可能就安全了。事实上,无论使用哪个操作系统,只要你有重要信息数据,黑客照样可以攻克。
有人认为针对黑客应该由政府立法来惩戒就可以解决问题,每一个国家的宪法都规定杀人是刑事问题,可是每天照样有人被杀。所以依靠“权威”来震慑是没有用的,何况技术的问题,传统的立法体系根本就跟不上。让擅长打人的警察在擅长敲键盘的技术领地里与黑客过招,后果可想而知。
由于CSDN是我的老朋友,我特意去听了他们组织的一个小型封闭式的“安全研讨会”,我听到的还是哪些“修补性思维”,只听到一个哥们谈“为什么不能跳出补漏洞的办法,漏洞补不完、那我们能不能就不补,我们为什么不能换一个方式、换一种思维来实现安全?”,这是令我耳目一新的“新思维”。
的确,现在的电脑安全需要“新思维”。
打个比喻,来说明现有安全体系的思维。
假如电脑就是一个开放的菜市场,菜市场是小偷可以光顾,顾客也可以光顾的地方。那安全的问题就是防止小偷出现。现有的安全方法就是找出小偷,并给小偷贴一个标签“我是小偷”,然后,一旦看到小偷来了,我们就派出城管把它一棍子打死。可是,小偷也是有思维的,小偷也需要保命,于是,小偷就不断化妆、不断更换衣服、不断变脸,使得“我是小偷”的标签失效,然后,小偷就可以在菜市场里自由行动。于是,我们就给小偷发很多标签,以至于标签堆积如山,标签体积远远大过这个菜市场,这就是“杀毒的安全思维”。
既然,小偷经常变换身份,所以就想出来一个“新发明”,就是总结小偷经常的走动路线,把这条路线定义为危险路线,只要有人按照这条路线走,他就“可能是小偷”,于是我们就按响报警,不管什么人只要一走动就报警,以至于想要来买菜的人都提心吊胆,屡屡被警告是小偷,这就是“主动防御”的思维。
又有人,发现菜市场安装防小偷门卫保安,那小偷就不能从正门进来,于是小偷就从墙头翻进来、可以从狗洞钻进来,于是,就发明了专门找出可以翻进来的墙头、狗洞,并且把这些墙头、狗洞堵住。可是菜市场太大了,天天找都能找出很多可以翻进来的墙头,堵住了狗洞还有猫洞,堵住了猫洞还有老鼠洞,堵啊堵,就是堵不完。这就使“漏洞扫面”、“漏洞补丁”的思维。
有人认为这个菜市场太烂小偷太多,换一个新的菜市场就好了,不知道其实只要有菜市场必然有小偷,只是某一个菜市场离市中心太远,市场不够火,很多小偷懒得去而已。这就是以为“换个新操作系统”就安全了的思维。
总之,现在的安全思维不外乎如此,但是小偷到目前为止照样在菜市场里转悠,照样行动自如。
单从大规模用户帐户数据库泄露来看,黑客有几种办法,一种简单的办法就是通过正常的访问请求就被系统当作普通数据传出来。稍微复杂一点的就是注入办法获得网站管理员密码,然后自由下载。再复杂一点的就是爆破攻击,激发漏洞提升权限然后运行自己想要的工具,进而上传自己专用工具,完全控制一台服务器,然后以此为据点进一步控制其他机器,直到所有有用的核心服务器都在自己的掌控制下,慢慢再找出自己想要的东西,比如用户数据库,再把整个数据下载下来。
一台服务器,只要安装一些工具软件,基本上都有10万个文件,即使是刚安装好的系统文件个数也都在2~3万的数量级别,可执行的文件有1万多。系统越来越庞大,提供的漏洞必然会越来越多。
目前随便一个软件就是几百MB、上GB的大小,其中绝大部分是可执行的应用数量。所以漏洞多得无法计算。
现在的编译工具添加了一些补救措施,比如安全SEH、禁用数据执行等等,只能说给黑客添加来一点麻烦而已。
黑客分为几个层次,核心层次是寻找漏洞,这层次的黑客以攻克技术为乐,工具就是反汇编和Debug工具,有没有源码不重要。第二层次是利用漏洞制作工具。第三层次使用工具。
我国是第三层次为主,主要使用已经公布的漏洞或者第二层次中没有公布的漏洞进行攻击牟利。
在核心黑客圈子里通常互相分享他们自己最新发现的成果,一般核心层次的漏洞成果是不公开的,只有核心成员之间分享,但他们一般也不干什么坏事。在核心圈子里,他们拥有各种系统得秘密漏洞,微软的也好、苹果的也好、linux的也好、甚至大型机的也好、Android的也好、iPhone的也好,都在他们小圈子里分享。
公布出来的基本上都属于过时的漏洞而已。
目前,病毒都可以做到BIOS里的年代,安全已经不能够再用“围追堵截”的方法来实现了。
那么有没有可以实现安全的东西呢?
有的,比如隔离系统。比如ATM取款机,在不破坏机器墙体的情况下,要想让ATM取款机偷出钱来没那么容易,一方面,因为ATM取款机使用的一般都不是Window系统,我看见有不少使用OS/2系统,并不是OS/2系统就没有漏洞,而是因为它是隔离使用,使得OS/2并没有其他连接,只有操作面板这一个I/O入口,如果ATM机也装一个无线网络的话,我相信不需要多久,这个ATM机就会成为免费提款机。
可见,一旦一个机器、一个系统暴露的I/O过多必然就会有大量的漏洞可以使用,它无法实现有效的安全,就如同一个围墙体提供的安全体系,是无法与一个封闭体的碉堡那样的安全。因为围墙是可以从四面八方爬进来的,而封闭的碉堡却只有一个入口,自然安全体系就会不一样。
有人认为网银安全,其实网银安全相当的不安全。尤其是有USB的网银。因为即使有了USB整个网银的线路都是开放的,根本无法与ATM相比,USB 只是保证了密码的安全,并不保证电脑的安全,更不保证支付线路的安全。有人认为支付线路是使用SSL的,即使SSL可以安全,但从USB到SSL中间有广阔的空间是不在安全范围里的,今年3月份央视的《经济信息连播》就报道过被穿改支付线路而钱款被盗一空的状况。
如果我们能够实现一个类似ATM机那样的安全体系,那安全就会截然不同。这需要新的安全思维、新的安全体系。
现在已经不是DOS时代,而是四处互联的网络时代,继续依赖DOS时代建立的安全思维,已经过时很久很久了。
新时代需要新的安全体系
本人研究新的安全思维、安全体系已经多年。
自从2007年结束播放器的技术之路后,我一直休息学习,也同时开始正式关注安全问题,到今天已经有好几家安全公司成功上市。有好几个新的号称安全的操作系统发布。开始我也以为可以“万事大吉”,已经不需要关注这个问题,可是很不幸,安全的问题不但没有减轻而是越来越严重,人们的损失也越来越大。
于是乎,只好亲自动手来解决安全问题,从零开始,由浅入深,一开始也是从“马后炮”的“围追堵截”的思维入手,但后来,发现这种游戏永无止境,但根本不能解决问题。所以就换一种思维、换一个角度去看安全,结果发现截然不同。
在我研究的过程中第一个附属应用就是网站的安全,这是最易于实现安全地方,因为网站服务器几乎都是单一功能、单一输出、单一输入的可隔离体系。那么,就可以把服务器变成类似ATM机只有一个I/O的方式,然后,网站服务器就从一个大院围墙就会变成一个碉堡。
在实验的过程中发现,其实我的服务器从不更新、从不打补丁、也从不封闭漏洞,但是我看到我的服务器里不断出现入侵者留下来的尸体——垃圾数据和垃圾应用,但服务器照常运转,应用运行记录中出现无数的试图运行应用的历史记录。包括以前遗留下来的木马不断试图对外连接的运行记录。因为我做实验的这个服务器本身就有大堆问题,尽管杀毒软件查不出任何意外,但他的异常行为说明那就是一台肉鸡服务器。事实上,我把这台肉鸡服务器捆绑隔离成一个单一的封闭体,即使你拥有管理员密码、即使你可以登录进去、也照样不能干任何事情。
也就是说,一个安全的网站服务器,应该不是基于漏洞、不是基于帐户密码的,而是假设这是一个永不关门的开放式市场,我们不能假设进门的不是小偷、不能假设小偷没办法进来。只有天天与小偷为伍才能够避免被偷。
网站服务器变成类似ATM机那样的封闭隔离体,安全性必然截然不同。
我研究的新的安全体系也不是针对中国这个地方的,我们需要目光关注全球的安全形势,其实,安全问题一直存在,即使是政府的安全体系也是同样如临大敌。
新的安全思维跳出旧有的思维,发现一个截然不同的实现安全的方法,同时也发现,现有的任何系操作统都无法依靠其自身来实现安全。目前流行的一种方式是苹果的软件商店模式,试图通过管理者来筛选的方式来避免不安全的应用出现,我可以先下结论--必然不能成功。因为安全的问题是操作系统、应用软件与生俱来的问题,依靠其自身是无法弥补的。
随着iPhone的应用越来越多、未来某一天就会出现大规模安全问题。
依靠封闭体系来解决安全问题从来就不成功。因为黑客只需要有Debug工具、反汇编工具就可以寻找漏洞,寄希望于软件审查过滤来实现安全,是同样解决不了安全问题,而且这种封闭体系积累越久安全的问题就会越多。
同样道理,所谓的“沙箱”技术也解决不了安全问题,它也是属于给黑客制造更多障碍而已。即使是使用“虚拟机”技术,黑客都同样可以穿越过去,何况 “沙箱”新的安全体系需要的是抛开现有安全思维,从另一个角度,从操作系统必然存在漏洞、从应用软件必然存在漏洞的角度出发,不再纠缠于漏洞的问题。而是从一个黑客的角度出发,用“其人知之道、治其人之身”。
安全问题为什么难,就在于安全问题的本质是人与人之间的斗智斗勇问题,如果在一个广阔的舞台上,人与人之间的斗智斗勇永远不会有结果。
安全是一种事业,不是一个解决方案。